たまに役立つセキュリティ豆知識 第110回

私物デバイスのウイルス感染がランサムウェア被害につながる恐れも

帰宅後は私物PCで仕事を続行……「シャドーIT」って大丈夫なの？

リモートワークも当たり前になってきましたが……

私物スマホに社外秘ファイルを保管……これって大丈夫？

Ｑ：「シャドーIT」ってなに？

Ａ：情報システム部門の許可/管理外で、従業員が勝手に使っているITサービスやツールのこと。

　従業員が業務にあたる際、企業のシステム担当者が管理していないパソコンやスマホなどのデバイスを使ったり、利用が許可されていないWebサービスを利用したりすることがある。このような管理外のデバイスやサービスのことを「シャドーIT」と呼ぶ。

　従業員が個人のデバイスを業務に使用することは「BYOD（Bring Your Own Device）」と呼ばれ、認めている企業も少なくない。この場合でも、デバイスを企業が承認・管理していれば問題はないが、そうでなければシャドーITに該当する。

　近年では、個人で複数のデバイスを所有することが一般的となり、便利なクラウドサービスも数多く登場している。さらにリモートワークの普及により、個人で使い慣れたデバイスやサービスを業務に利用する傾向も強まっている。その結果、企業の管理が不十分なままBYODを推進すると、シャドーITが増加しやすくなる。

　そしてシャドーITの増加は、企業全体のセキュリティに大きな影響を及ぼす可能性も。

　たとえば、個人で契約したクラウドストレージに社外秘のファイルを保存したり、私物のスマホで業務メッセージをやり取りしたりしている場合、アカウントの乗っ取りやデバイスの紛失・盗難によって情報が流出する恐れがある。

　また、ずさんなセキュリティ対策の結果、ウイルスに感染するなどして企業側に悪影響を与えてしまうこともあり得る。昨今、企業を狙い撃ちしたランサムウェアによる業務停止・情報漏えいが問題となっているが、十分なセキュリティを備えていないシャドーITは、悪意ある人たちにとって絶好の抜け道として機能してしまう。

　シャドーITへの対策としてBYODや社外サービスの利用禁止も選択肢の1つだが、使い勝手という面ではデバイスの適切な管理と外部サービス利用のルールを整備したうえで、従業員が安全・便利に業務できる環境を整えることが重要だ。